René Raaijmakers
23 augustus

Veilige code schrijven is aan te leren als een goede gewoonte. Iets waar je nauwelijks nog bij stilstaat, zoiets als tandenpoetsen of een autogordel omdoen. High Tech Institute neemt er de Hongaarse specialisten van Scademy voor in de arm.

‘We leren ontwikkelaars hoe ze niet moeten coderen.’ Met deze uitspraak zet László Drajkó zijn gesprekspartners graag op het verkeerde been. Toch is dat waar het in de softwaresecuritytrainingen van zijn bedrijf Secure Coding Academy (Scademy) om draait: het aanleren van een werkdiscipline die zwakke plekken in software voorkomt.

Misschien is ‘discipline’ een te groot woord. Drajkó vindt het meer te vergelijken met het omdoen van de autogordel. ‘Je realiseert je niet meer dat je ’m omdoet. Zo kun je jezelf ook de goede gewoonte aanleren om veilige code te schrijven. Valkuilen omzeil je dan automatisch, zonder er echt bij stil te staan. We leren instinctief goede coding habits aan.’ Veilig coderen kost volgens Drajkó geen extra tijd. ‘Het kost wel tijd om het te leren, maar daarna niet meer.’

Onderwijs over veilige code is een arbeidsintensieve tak van sport. Wereldwijd zijn er voortdurend inbraakincidenten waarbij kwetsbaarheden opduiken. Het vergt een fors team om die kennis bij te houden en als cases te verwerken in trainingsmateriaal. ‘Een zelfstandige docent zou voor elk uur training ook vier uur kwijt zijn om alles bij te houden en te verwerken’, schat Drajkó.

Om die reden gaat High Tech Institute in zee met Scademy, een specialist die zich volledig richt op trainingen voor veilige software. Het Hongaarse instituut biedt een kleine veertig trainingen aan, waarbij security voor embedded systemen de specialiteit is.

‘In onze training leer je geen hacken, je leert hackers buitenspel zetten’, zeggen Ernõ Jeges (links) en László Drajkó (rechts), die afgelopen zomer de High Tech Campus in Eindhoven bezochten.

Commodore en ZX Spectrum

Scademy is gevestigd in de Hongaarse hoofdstad Boedapest. De jonge László Drajkó had daar in de jaren tachtig wel toegang tot computers, al was dat binnen de Russische invloedssfeer zeer beperkt. Zijn eerste kennismaking was op zijn twaalfde. ‘Wetenschap was niet-politiek. Het onderwijs was heel erg theoretisch, maar wel goed. Achter het IJzeren Gordijn waren we aangewezen op onze hersenen en hadden we verder weinig resources.’

Coderen deden Drajkó en zijn medestudenten op papier. ‘Dat draaiden we vervolgens af in onze hersenen. We checkten op codeerfouten die nooit waren geïmplementeerd. Correcties deden we ook weer op papier. Want als we uiteindelijk toegang hadden tot computers, dan wilden we daar foutloze programma’s in stoppen. Geld en computers hadden we nauwelijks.’

Midden jaren tachtig mochten de Hongaren naar Duitsland en Oostenrijk reizen, waar ze Commodore- en ZX Spectrum-computers konden kopen. ‘De generatie voor ons moest miljoenen dollars op tafel leggen voor een computer, maar wij konden voor vijfhonderd dollar ineens een huiscomputer kopen. De pc had een grote impact op onze leeftijdsgroep.’

Drajkó studeerde midden jaren tachtig computerwetenschappen in Hongarije. In zijn studietijd viel het IJzeren Gordijn en dat had een grote impact op hem. Een beurs van de Europese Gemeenschap stelde hem in staat om in Delft te gaan studeren. Dat zorgde voor een cultuurschok. De eerste maanden in Nederland was hij ondergedompeld in ‘totale miscommunicatie’.

Hoewel hij Engels sprak, begreep Drajkó de vragen van zijn begeleiders niet. ‘Niet qua taal, maar conceptueel. Het onderwijs was totaal anders. Ze vroegen bijvoorbeeld: ‘László, aan welk probleem wil je werken?’ ‘Nee, nee’, zei ik dan, ‘ik heb helemaal geen problemen. Vertel me maar welke code ik moet schrijven en dan zal ik er het beste algoritme voor vinden.’ Maar ze zeiden dan dingen als: ‘Hoe zou je de wereld positief willen veranderen?’ Toen dacht ik: ik ben op de kunstacademie beland!’

Compaq, Microsoft en Novell

Na 25 jaar bij internationale bedrijven als Compaq, Microsoft en Novell te hebben gewerkt, besloot Drajkó om te investeren in een trainingsbedrijf. Hij wilde kennis overdragen en zocht naar een geschikte niche. Die vond hij in security. ‘Ik vroeg me af wat er verkeerd ging en kwam onder meer op cybersecurity. Het aantal incidenten groeit exponentieel, terwijl het bewustzijn minimaal is. Slechts een paar bedrijven doen er wat aan. Iedereen is bezig fouten te repareren, maar daarmee pak je het probleem niet aan. Onderwijs is de gouden kans om een softwaresecuritycrisis te voorkomen. Ons uitgangspunt is niet pijnstillers of pleisters verkopen, we willen een immuunsysteem bouwen dat zeer resistent is.’

Nov
28

Benelux RF Conference

Nijmegen

Learn about 5G, advanced technologies, powered by RF, radar, smart antennas

Vier jaar geleden kwam Drajkó twee oude bekenden tegen, Ernõ Jeges en Zoltan Hornak. Alle drie studeerden ze op de universiteit van Boedapest, maar Jeges en Hornak kennen elkaar al sinds 1990. In dat jaar streden de Hongaar en Joegoslaaf tegen elkaar op de tweede internationale informaticaolympiade in Minsk. Hornak koos enkele jaren later voor Boedapest om informatica te gaan studeren.

Jeges en Hornak trokken samen op en tijdens hun promotieonderzoek gingen ze in opdracht van Nokia tests uitvoeren om binnen te dringen in mobiele telefoons en netwerksystemen. De vraag bleek zo groot dat ze hun PhD aan de wilgen hingen en in opdracht systemen gingen hacken. ‘White hat hacking was toen nog onontgonnen terrein’, zegt Jeges. ‘Maar weinig bedrijven deden dat. Nokia had een hoop projecten en wij realiseerden ons dat we on the job meer leerden dan op de universiteit.’

De opdrachten voor penetratietests (pentests) stroomden binnen bij hun bedrijf Search Lab: het duo mocht betaald gaan inbreken op netwerkapparatuur, settopboxen en meer. Het ging vooral om embedded systemen. ‘Niet veel bedrijven focussen daarop, want daarvoor heb je kennis op chipniveau nodig. De meeste pentest-bedrijven richten zich op websites of webservices, maar wij doen dus expliciet embedded.’

De crisis van 2008 had een forse impact op Search Lab. In dezelfde tijd sloeg de mobieltjesbusiness volledig om naar Iphone en Android-platforms. Jeges en Hornak verloren veel business van klanten met wie ze een traditie hadden. Ze gingen hun uren besteden aan het ontwikkelen van een platform voor trainingen.

De gemeenschappelijke kennis over security zorgde vier jaar geleden voor een klik met Drajkó. Jeges en Hornak hadden een volledig geautomatiseerd platform om materiaal en hand-outs samen te stellen voor securitytrainingen. ‘We hebben nu een bibliotheek van materiaal voor trainingen van in totaal vijftig dagen’, claimt Jeges.

‘Wij willen geen pijnstillers of pleisters verkopen, we willen een immuunsysteem bouwen’

Paranoia ontwikkelen

De securitywereld blijft in beweging en om dat bij te houden, biedt Scademy behalve klassikale ook online training. Voor een klein bedrag per jaar kunnen deelnemers hun kennis bijspijkeren via een digitaal gameplatform. De online aanpak maakt de resultaten ook goed meetbaar. ‘We meten ons succes af aan hoe klanten onze kennis vertalen in coding habits’, aldus Drajkó.

De noodzaak aan inherent veilige code is groot, maar niet alle ontwikkelaars lopen warm voor een securitytraining. ‘Als je developers vraagt om een training te kiezen uit negentien verschillende mogelijkheden, dan staat security waarschijnlijk onderaan. Het klinkt heel verplichtend. Een nieuw platform, nieuwe taal nieuwe of architectuur is veel aantrekkelijker voor ze.’

In de softwaresecuritytrainingen van Scademy leren ontwikkelaars niet om te hacken. Van dat soort trainingen zijn er vele soorten en maten, zegt Drajkó. Veel van zijn klanten in de VS hebben daar ervaring mee. ‘Ze zijn er echter op afgeknapt, omdat hun designers het niet konden relateren aan hun dagelijkse werk.’

Drajkó stelt dat hacktechnieken leren om hacks te voorkomen geen zoden aan de dijk zet. ‘Los van het verschil tussen ethisch en kwaadwillend hacken. Want in technisch opzicht is dat verschil er niet; het is een kwestie van instelling.’

Ontwikkelaars moeten er volgens Drajkó wel van doordrongen zijn wat hacken precies is. ‘We laten het daarom wel zien. Deelnemers moeten ook weten dat hackers oneindig veel tijd en oneindig veel resources hebben. Ze maken gebruik van bots en computers van derden. In de embedded-wereld neemt dat toe met de groei van het internet of things.’

De trainingen starten daarom altijd met een inkijkje in het hoofd van hackers. Jeges: ‘We laten bijvoorbeeld zien dat bufferoverflow een probleem kan zijn. Dat iemand dan de controle kan overnemen en het niet langer jouw programma is dat draait.’

Jeges’ doel is niet om mensen hacken bij te brengen, maar om paranoia te ontwikkelen. ‘De eerste dag gaan deelnemers naar huis met een vervelend gevoel. Ze realiseren zich dat ze in het verleden fouten hebben gemaakt. Die emotie is belangrijk. Het heeft een impact die we met online training niet voor elkaar krijgen.’ Na die ervaring zijn deelnemers volledig bij de les, constateert Jeges met een glimlach. ‘Emotioneel en intellectueel.’

Daarmee is de klas rijp voor het behandelen van best practices. Jeges: ‘We laten het verschil zien tussen goedbedoelde pogingen om code hackbestendig te maken en de echte best practices. De nieuwe technieken en vaardigheden die ze daarmee leren, kunnen ze de volgende dag toepassen.’

Casestudies vormen een belangrijk onderdeel van de best practices. ‘Daarbij maken we gebruik van alle incidenten die wereldwijd bekend zijn’, verklaart Jeges. Scademy profiteert daarbij van de expertise van Search Lab. Zo publiceerde het pentest-zusterbedrijf vorig jaar binnen 48 uur een codeanalyse over Wannacry, de ransomware die zich richtte op Microsoft Windows en vorig jaar mei wereldwijd een paar honderdduizend computers besmette.